劉雙金,金征盈,何 超

(1.中廣核工程有限公司,廣東 深圳 518124;2.大亞灣核電運營管理有限公司,廣東 深圳 518124)

0 引言

某核電站非安全級數(shù)字化控制系統(tǒng)(digital control system,DCS)平臺采用西門子公司非過程控制系統(tǒng)(teleperm XP,TXP)系統(tǒng)，包含二層人機接口系統(tǒng)OM(版本V4.0)、一層過程控制系統(tǒng)AS(版本S5)以及相關(guān)網(wǎng)絡(luò)通信設(shè)備。設(shè)備從出廠至今已運行超過12年。數(shù)字儀控系統(tǒng)老化期一般為10～15年。目前，TXP系統(tǒng)備件大量停產(chǎn)停供，OM系統(tǒng)故障率越來越高，可靠性越來越差。同時，隨著新網(wǎng)絡(luò)安全法的頒布，目前TXP網(wǎng)絡(luò)安全設(shè)計不能滿足相關(guān)要求，存在較多待改進項。

鑒于目前存在的問題，根據(jù)商運以來的運行、維修經(jīng)驗和外部反饋，結(jié)合電廠的中長期改造規(guī)劃，以十年大修為契機，完成兩臺機組非安全級DCS平臺TXP系統(tǒng)升級改造。當前，可以參考借鑒的核電DCS平臺整體改造經(jīng)驗較少。其中，可行性研究、工期控制、風險控制以及測試體系是成功實施改造的關(guān)鍵。

1 改造必要性研究

1.1 設(shè)備可替代性研究

本文所依托的核電項目DCS非安全級平臺TXP系統(tǒng)設(shè)備已運行十二年，在十年大修后將進入損耗故障期，故障率可能急劇升高。經(jīng)評估，服務(wù)器以及一層控制卡件等關(guān)鍵設(shè)備庫存?zhèn)浼褵o法滿足未來十年機組維修需要，會影響機組可靠性和可用性[1]。

OM系統(tǒng)的主要備件為SUN服務(wù)器及其附件(如內(nèi)存、硬盤等)。主要備件數(shù)量少，特別是SUN服務(wù)器已停產(chǎn)停供。此外，運行的OM版本基于Unix操作系統(tǒng)，而新OM版本基于Linux操作系統(tǒng)，無法直接替代。

目前，TXP S7系列是西門子主流DCS平臺。其運行的S5系列已于2013年停產(chǎn)，軟硬件可維護性越來越差，需要通過升級改造確保服務(wù)可用性和可維護性。以一層控制系統(tǒng)AS為例，其所包含的處理器(automation processor,AP)機架相關(guān)備件除機架尚可少量采購，其他中央處理器(central processing unit，CPU)、通信模件CP1430、接口模件(interface module,IM)均已停產(chǎn)停供。AS-S5與AS-S7硬件配置有差異，停供的備件無直接替代產(chǎn)品，需要通過系統(tǒng)升級解決[2]。

1.2 網(wǎng)絡(luò)安全問題

TXP平臺網(wǎng)絡(luò)設(shè)備除備件數(shù)量不滿足運行維修需求外，還存在網(wǎng)絡(luò)安全問題[3]，特別是不滿足新網(wǎng)絡(luò)安全法要求。在中央網(wǎng)信辦、四部委、能源局檢查中，TXP系統(tǒng)存在以下不足。

①網(wǎng)絡(luò)與信息安全：沒有部署入侵檢測防御相關(guān)設(shè)備，沒有部署防惡意代碼的相關(guān)設(shè)備。

②應(yīng)用安全：應(yīng)用系統(tǒng)缺乏對安全標記、剩余信息保護、抗抵賴、軟件容錯、資源控制等的安全控制功能。

③主機安全：生產(chǎn)控制服務(wù)器未實現(xiàn)對基礎(chǔ)平臺(操作系統(tǒng)、數(shù)據(jù)庫、中間件)的審計日志統(tǒng)計收集，以及對服務(wù)器主機資源(CPU、內(nèi)存、存儲)的集中監(jiān)控。

由于上述原因，非安全級DCS系統(tǒng)的改造非常必要和緊迫。

2 改造技術(shù)方案

2.1 總體改造原則

由于核電機組安全的特殊性，按照運行技術(shù)規(guī)范對DCS平臺的安全要求，升級改造的窗口只能在大修期間堆芯完全卸料(reactor complet decharge,RCD)模式一回路為低低水位窗口內(nèi)。經(jīng)評估改造工作量以及需求時間，為最大限度控制風險和成本，將實施窗口定為單臺機組十年大修水位期間?？偟膶嵤┰瓌t如下。

①保守測試原則。日常期間，提前實施全范圍模擬機(fullscope simulation system，F(xiàn)SS)的升級改造。完成性能測試后，將機組的數(shù)據(jù)庫下裝到模擬機中，并基于模擬機的仿真模型進行全范圍功能測試，以保證控制功能的完整性和正確性、有效減少運行機組升級改造測試量、縮短運行機組升級改造工期，從而獲得最大投資回報。

②分列實施原則。根據(jù)核電機組的安全要求，在實施期間必須保證操縱員在主控室對機組重要設(shè)備和參數(shù)的監(jiān)視要求。因此在實施期間，人機接口必須保證有一列OM可用，同時一層設(shè)備實施期間應(yīng)按照設(shè)備分列要求分列實施，保證現(xiàn)場重要設(shè)備的冗余性要求。

③分層實施原則。一、二層設(shè)備分層實施，一方面保證實施期間滿足大修窗口對DCS的需求，另一方面可結(jié)合大修計劃靈活安排實施窗口，最大限度減少大修占用關(guān)鍵路徑的時間。

④功能保持原則。整個TXP平臺的一、二層邏輯組態(tài)功能應(yīng)保證完全一致，確保改造不會造成功能缺失和缺陷。人機接口界面應(yīng)保持一致，任何改變應(yīng)及時升版運行手冊，確保不會對運行操縱產(chǎn)生影響。

⑤風險控制原則。鑒于升級改造帶來的信號變化可能導致的設(shè)備誤動，提前作出完善的風險分析預案。實施期間，應(yīng)做好完善的隔離措施，確保不因升級改造誤發(fā)信號造成現(xiàn)場設(shè)備的誤動作。

改造總體邏輯圖如圖1所示。

圖1 改造總體邏輯圖

結(jié)合機組十年大修計劃、機組狀態(tài)、設(shè)備隔離窗口以及水位窗口，進行合理的施工窗口安排。

2.2 兩層人機接口系統(tǒng)OM系統(tǒng)升級

目前，OM V4.0運行環(huán)境為SUN硬件和Solaris操作系統(tǒng)，升級后OM V5.0運行環(huán)境為X86硬件和Linux操作系統(tǒng)。因此，目前所有OM服務(wù)器，包括實時服務(wù)器(processing unit，PU)、歷史服務(wù)器(server unit,SU)、網(wǎng)關(guān)服務(wù)器(XU)、畫面服務(wù)器(operational terminal,OT)、工程師站服務(wù)器(ES680)等，以及工作站(操作員、工程師站等)都將被替換。

除服務(wù)器替換外，采用NAS服務(wù)器替換磁盤陣列。NAS通過一個快速環(huán)形總線(1 GB/s)連接兩個SU。Jukebox服務(wù)器由長期存檔服務(wù)器(long term archive,LTA)替代，并以現(xiàn)有連接方式接入。新增冗余網(wǎng)頁服務(wù)器單元(redundant sheet server unit,RSSU)，存儲并運行原安裝于SU中的運行程序和報警卡，以降低SU/OM負荷，同時通過冗余存儲保持高可用性。

2.3 一層過程控制系統(tǒng)AS升級方案

①一層控制機架及模塊整體更換。采用帶有CPU、電源和通信模塊的S7-AP機架整體替換S5-AP機架。大多數(shù)情況下，1對1地替換S5-AP機架中的CPU、電源和通信模塊。

②一層運行軟件和數(shù)據(jù)庫的升級。邏輯代碼由工程師站ES680 V8.5基于現(xiàn)有S5功能圖生成。但目標系統(tǒng)是S7而不是S5，因此需要替換拓撲圖和硬件相關(guān)系統(tǒng)圖中的符號。工程師站自動將邏輯不加任何改動地編譯為S7代碼。與S5系統(tǒng)相比，其區(qū)別僅在于機器代碼的格式由S5轉(zhuǎn)換為S7。因此，升級前后的代碼具有相同的功能[4]。

③安全相關(guān)機柜的抗震分析。對于SR機柜，由于安裝方式有較大的改變，采用新的設(shè)備可能將突破原來的抗震分析和計算，需要進行供應(yīng)論證并給出報告。

④與安全級平臺TXS的通信方案升級。AP與安全級優(yōu)選模件(AV42)通信設(shè)備升級后，采用Y-Link型光電轉(zhuǎn)換器替換Y-Switch型光電轉(zhuǎn)換器。這將會導致反應(yīng)堆保護系統(tǒng)(reactor protection system,RPS)的供電、布置發(fā)生變化，與TXS系統(tǒng)在國家核安全局(national nuclear security agent,NNSA)備案的配置報告中關(guān)于軟、硬件的說明不一致，造成網(wǎng)絡(luò)架構(gòu)發(fā)生變化。因此，在詳細設(shè)計階段需對升級方案進行核實、驗證、分析等。

2.4 網(wǎng)絡(luò)組件升級

網(wǎng)絡(luò)組件具體設(shè)備包括LEVEL2層交換機、OM服務(wù)器機柜內(nèi)交換機、操作員站交換機、工程師站交換機、打印機交換機；LEVEL1層交換機，AP機柜內(nèi)交換機、通信網(wǎng)關(guān)設(shè)備(communication module,CM)機柜內(nèi)交換機。升級引入的交換機型號主要為Scalance X308-2 M、Scalance XC106-2(SC)等。

新型號交換機需確保物理層的協(xié)議信息不會跨過3、4、8號機網(wǎng)絡(luò)，并需通過廠家正式的分析和獨立的第三方測試，從而能夠控制網(wǎng)絡(luò)風暴的風險。

交換機的安全、可靠性將在信息安全框架中進行測試。

3 實施過程中的進度控制

由于核電站自身的特殊性，盡管升級改造的工作安排在大修期間實施，但仍然無法將整個DCS平臺全部下電進行直接改造。大修期間，核電站的冷源、電源、通風以及放射性監(jiān)測等系統(tǒng)仍然需要進行實時監(jiān)控，以確保堆芯的安全性。

十年大修的時間窗口，主要分為三個階段。第一階段為低低水位檢修窗口，約12 d；第二階段為低低水位檢修窗口，機組主要檢修工作為安全殼密封性試驗，約8 d；第三個階段為兩個低低水位窗口之間，主要是一回路水壓試驗、壓力容器在役檢查窗口，約14 d。

3.1 工期安排思路

因此，在改造準備階段，結(jié)合機組對DCS的需求，提前策劃如下分段實施計劃控制思路。按照指定的詳細工作計劃，大約需要30 d的工時，應(yīng)結(jié)合大修窗口分段實施。

進度控制簡圖如圖2所示。

圖2 進度控制簡圖

①第一個低低水位前(5 d)：由于大修實施更換的AS機柜硬件主要涉及常規(guī)島相關(guān)系統(tǒng)的控制，因此AS機柜硬件更換工作可提前到低低水位之前開始，在常規(guī)島主隔離完成之后，可以開展升級更換工作。

②第一個低低水位期間(12 d)：完成整個OM系統(tǒng)軟硬件升級/一層代碼下裝,考慮之后進行水壓試驗、在役檢查和安全殼打壓試驗要保證電站計算機信息和控制系統(tǒng)可用性。第一個低低水位為工期控制關(guān)鍵點。其中，一層代碼全下裝的窗口對工期有決定性影響。因大修期間機組仍需要監(jiān)測部分重要設(shè)備(如冷源、電源、放射性監(jiān)測、通風等)的運行狀態(tài)，因此考慮將OM拆分為兩列冗余環(huán)網(wǎng)，分列進行升級，確保升級期間有一列OM可用。操縱員可以在主控進行監(jiān)視。另外，在OM 升級期間，可以切換到后備盤(backup panel,BUP)進行控制，通過BUP盤監(jiān)測重要設(shè)備參數(shù)。

③第一個低低水位之后：完成網(wǎng)絡(luò)設(shè)備的更換，工期約13 d。

3.2 工期控制難點

①結(jié)合大修期間控制器離線下裝的經(jīng)驗，設(shè)備隔離和風險溝通的工期較長。因此，本次大量控制器整體下裝是工期控制的難點，也是項目按期完成的關(guān)鍵點[5]。

②項目為整體升級，軟硬件更換、升級的工作量巨大。其中如果出現(xiàn)意外技術(shù)問題，處理的時間可能會占用工期。這也是項目按期完成的風險點。

③本次升級以上次大修之后的數(shù)據(jù)庫作為基準，距本次大修包括本次大修本身涉及數(shù)據(jù)庫修改的工作需要在新工程師站(engineering system,ES)上進行修改。這部分改動量較大，也是工期控制的重要關(guān)注點。

④第三個階段，所有一層機柜的交換機更換期間，需要按離線下裝機柜控制，涉及的機柜數(shù)量多，是工期控制的關(guān)注點。

4 實施過程中的風險控制

AP離線下裝過程將造成該AP的所有信號失去運行監(jiān)視，需將輸出信號復位至默認狀態(tài)，離線下裝結(jié)束后信號采集和邏輯處理恢復正常。由于輸出信號在整個過程中可能出現(xiàn)變化，將導致工藝設(shè)備的誤動或拒動，因此要做好相應(yīng)的風險分析和隔離措施。

①隔離措施保證。AP離線下裝中有三類信號會發(fā)生變化。第一類是硬接線輸出信號，在AP離線下裝過程中，所有模擬量和開關(guān)量信號會失去輸出。第二類是AP間網(wǎng)絡(luò)信號，在AP下裝過程中所有模擬量和開關(guān)量信號同樣會失去。第三類是開關(guān)選擇功能塊，如SLC/SELECT，以及RS觸發(fā)器，在離線下裝后重啟的過程中會復位到默認位置。因此，在進行風險分析時，要全面分析所有影響信號輸出變化的設(shè)備，結(jié)合機組要求進行相應(yīng)的隔離，以防止設(shè)備誤動作。

②電廠冷源可用性保證。為保證在RCD模式下冷源可用，A/B列泵所在的AP不能同時開展離線下裝工作，必須在確認A列完成后方可進行B列工作(質(zhì)量計劃控制)。此外，通過對影響列的泵的預先啟動方式進行干預。對意外啟動的泵，主控優(yōu)先匹配流量后由現(xiàn)場人員及時手動停運。

③電源可用性保證。經(jīng)分析，離線下裝期間由于信號復位，會觸發(fā)6.6 kV柴油機啟動，且6.6 kV電源開關(guān)從正常電源模式切換到柴油機供電模式。因此，為保證機組電源可用，首先應(yīng)保證電源A、B兩列至少一列可用；其次，應(yīng)由運行人員提前啟動將受影響列的柴油機，將安全級6.6 kV電源切換至柴油機供電，避免因自動切換異常導致的安全級6.6 kV電源下游負載失電；再次，為避免非安全級6.6 kV電源系相關(guān)開關(guān)異常動作，應(yīng)實施臨時措施，斷開DCS通向就地勵磁繼電器的指令線，從而保持開關(guān)的當前狀態(tài)。

④通風消防可用性保證。為保證RCD模式下火警/消防/通風系統(tǒng)的可靠運行(通常該類設(shè)備運行狀態(tài)不受影響)，對于誤動后果難以接受的高風險設(shè)備(如主泵消防相關(guān)設(shè)備在重錘效應(yīng)下會釋放二氧化碳)，應(yīng)通過就地插銷的辦法防止期間誤噴。同時，由于AP控制器離線過程中，會失去相關(guān)的自動控制功能，必須由儀控、運行、安工、計劃等專業(yè)人員根據(jù)每個AP的輸入/輸出清單，識別出RCD模式下與運行技術(shù)規(guī)范相關(guān)的系統(tǒng)設(shè)備，在進行相關(guān)AP離線下裝工作期間嚴格控制I/O數(shù)目，以避免違反技術(shù)規(guī)范。

⑤閥門安全狀態(tài)保證。為保證離線下裝期間氣動開關(guān)/調(diào)節(jié)閥動作不對系統(tǒng)產(chǎn)生影響，必須按照系統(tǒng)進行篩選，由儀控、運行、安工、計劃共同針對清單識別出機組在RCD模式下需要重點關(guān)注的設(shè)備，并預先做好措施。通過提前將上游手動隔離閥置于合理位置、調(diào)整系統(tǒng)運行方式等多種途徑，保證設(shè)備動作不會對系統(tǒng)運行產(chǎn)生影響，待AP離線下裝工作結(jié)束后再恢復閥門初始狀態(tài)。

⑥設(shè)備狀態(tài)一致性保證。為確保離線下裝前后設(shè)備狀態(tài)保持一致，尤其是下裝過程中被復位為默認輸出值的操作塊所影響的設(shè)備，需要在開工前，按照已經(jīng)梳理好的清單，記錄當前狀態(tài)；工作結(jié)束后，運行人員和儀控人員一起將操作塊狀態(tài)恢復為初始狀態(tài)[6]。

5 升級改造的相關(guān)測試

經(jīng)過升級改造，TXP平臺包含的硬件(包括二層人機接口系統(tǒng)OM的服務(wù)器、一層過程控制系統(tǒng)AS的模件)均更換為新型號設(shè)備，運行在服務(wù)器和控制器中的軟件版本也更新為更高版本。其中，所運行的數(shù)據(jù)庫、組態(tài)邏輯均適應(yīng)性地進行了轉(zhuǎn)換。但是，為了確保升級改造前后畫面組態(tài)、控制組態(tài)實現(xiàn)的功能與升級前保持一致，需要全面策劃以下三個階段的測試工作。

5.1 設(shè)備出廠測試

因升級改造不包括AS系統(tǒng)的采集和輸出模件，因此測試的重點是設(shè)備和系統(tǒng)的可用性。通過執(zhí)行出廠測試程序，對一、二層系統(tǒng)進行全范圍的功能和性能測試。主要測試內(nèi)容如下。

OM690功能測試，測試監(jiān)視操作畫面功能完整，報警、打印、趨勢顯示、歷史存儲燈功能正常，與升級改造前保持一致。

①網(wǎng)絡(luò)通信測試:測試一、二層各設(shè)備網(wǎng)絡(luò)配置正確，各設(shè)備通信正常，互相之間信號傳輸正常。

②系統(tǒng)負荷測試：測試服務(wù)器、控制器、網(wǎng)絡(luò)設(shè)備負荷在合同規(guī)定的范圍內(nèi)。

③工程師站功能測試：測試工程師站代碼生成、下裝、動態(tài)監(jiān)視、DAMO生成、畫面分發(fā)等功能正常。

④冗余功能測試：測試具有冗余配置的服務(wù)器、控制器、網(wǎng)絡(luò)設(shè)備，在離線的情況下可以完成無擾切換。

⑤邏輯組態(tài)初步檢查：對一層邏輯組態(tài)進行初步檢查，保證邏輯組態(tài)功能在改造前后保持一致。

5.2 全范圍模擬機功能測試

由于模擬機采用仿真模型，可對核電站工藝系統(tǒng)進行高度仿真。完成仿真模型與新型系統(tǒng)設(shè)備的連接配置后，可借助仿真系統(tǒng)對邏輯組態(tài)功能進行完整的測試。

①信號監(jiān)視、設(shè)備操作功能測試：在仿真平臺建立完整工況，例如100%功率平臺，檢查信號顯示、設(shè)備操作是否正常。

②模擬機組啟停測試：在仿真模型中模擬一次機組啟動、機組正常停運的操作過程，檢查啟停過程信號的顯示，設(shè)備動作、報警、趨勢、規(guī)程等均功能正常。

③機組重要閉環(huán)控制測試：建立100%功率平臺后，分別執(zhí)行穩(wěn)壓器壓力/水位擾動、蒸發(fā)器水位擾動、一回路平均溫度擾動、汽機功率調(diào)節(jié)等試驗，檢查機組相關(guān)參數(shù)、報警是否正常。

④瞬態(tài)功能測試：建立100%功率平臺，分別模擬跳堆、跳機、甩負荷等瞬態(tài)試驗，檢查機組相關(guān)參數(shù)、報警是否正常[7]。

5.3 現(xiàn)場升級改造后的再鑒定測試

設(shè)備現(xiàn)場安裝完成并重新投入運行后，具備了現(xiàn)場真實聯(lián)合測試的條件。

①平臺功能測試：平臺設(shè)備改造升級完成后，測試自身功能的正確性和完整性、設(shè)備各項性能以及整體系統(tǒng)的性能和功能是否滿足要求。

②系統(tǒng)聯(lián)合測試：重點是邏輯組態(tài)與現(xiàn)場設(shè)備的準確對應(yīng)，分別在改造升級的一層AS機柜中開關(guān)量、模擬量、執(zhí)行機構(gòu)的通道，檢查現(xiàn)場輸入狀態(tài)是否與畫面顯示一致；在主控操作具備執(zhí)行條件的執(zhí)行機構(gòu)進行操作，檢查設(shè)備能否按照指令要求正常動作。

③機組啟動平臺可用性試驗：在機組啟動過程中，檢查操縱員的各項操作均能正常執(zhí)行，現(xiàn)場信號、報警、趨勢、規(guī)程等功能正常，機組各閉環(huán)控制系統(tǒng)投自動后調(diào)節(jié)功能正常[8]。

6 結(jié)論

數(shù)字化儀控系統(tǒng)DCS整體升級改造，是未來核電站面臨的一項難題。整體升級改造是一項系統(tǒng)工程，工作量大，對工藝設(shè)備影響復雜。改造工程既要將大修工期控制在最短，避免影響發(fā)電效益[9]；同時又要確保改造目標的完整實現(xiàn)，過程中不能帶來風險和隱患。因此，改造技術(shù)的方案研究、進度計劃、測試安排以及風險控制都需要深入研究，以提升核電運行的安全穩(wěn)定性和和核電企業(yè)的實際收益。本文在核電站數(shù)字化儀控系統(tǒng)DCS改造實踐過程中，風險控制、工期控制均達到了預期效果，順利完成了升級工作，對于后續(xù)的電廠改造具有重要參考意義。